Come verificare se la tua email è stata vittima di una perdita

Le violazioni dei dati sono il modo più comune in cui il tuo indirizzo email può subire una perdita su internet. Questo può far sì che compaia in forum online, nel dark web e in altri spazi pubblici. Ci vogliono in media 277 giorni per identificare e contenere una violazione secondo un rapporto IBM del 2022(nuova finestra), il che significa che potrebbero passare nove mesi prima che tu ti accorga che degli hacker hanno i tuoi dati personali. Ciò rappresenta una seria minaccia per la tua privacy e sicurezza online.

L’unico modo per limitare l’impatto di una perdita email è controllare regolarmente se i tuoi dati personali sono stati compromessi. In questo articolo, ti mostriamo come verificare se la tua email è stata vittima di una perdita e cosa puoi fare al riguardo.

• Cosa succede se la tua email subisce una perdita? 
• Come verificare se c’è stata una perdita email
• Come proteggerti dalle perdite email
• Scegli un provider di posta sicuro

Cosa succede se la tua email subisce una perdita?

I dati personali esposti nelle violazioni compaiono continuamente nel dark web, causando una serie di problemi alle vittime. Ecco cosa potrebbe accadere se dei criminali informatici entrassero in possesso della tua email e password.

Aumento di email di spam e phishing

Uno dei segnali di avviso più evidenti che la tua email è stata vittima di una perdita è un’ondata di spam e email di phishing nella tua posta in arrivo. Sebbene la maggior parte delle email di spam sia solo fastidiosa, le email di phishing sono più pericolose. Chi pratica il phishing impersona un mittente legittimo, come la società della tua carta di credito o un fornitore di servizi sanitari, per ingannarti e spingerti a divulgare informazioni personali.

Un altro trucco comune è impersonare il servizio che ha subito la perdita delle tue informazioni. Ad esempio, Twitter ha subito una perdita di oltre 200 milioni di email(nuova finestra) a fine 2022, ed è molto facile per gli aggressori includere tutte le informazioni necessarie per far sembrare il messaggio un’email legittima proveniente dal servizio. Qui puoi vedere un esempio di attacchi di “spear phishing” rivolti agli utenti di Twitter con account verificati.

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

Fortunatamente, di solito puoi difenderti dalle truffe di phishing semplicemente con un po’ di buon senso. Tieni d’occhio frasi che suonano strane, ispeziona attentamente l’indirizzo email della persona che ti ha inviato il messaggio e contattala tramite un altro canale per confermare che l’email sia legittima.

Se sospetti che un’email sia un tentativo di phishing, non aprire alcun link o allegato e segnala immediatamente l’email al tuo provider di posta.

Attacchi di sottrazione dell’account

Se anche la tua password email è stata esposta in una violazione dei dati, un hacker potrebbe prendere il controllo del tuo account email con un attacco di sottrazione dell’account. Spesso useranno le informazioni nella tua posta in arrivo per accedere ad altri account più sensibili, come l’online banking o i profili social. Potrebbero persino ricattarti usando le tue email o costringerti a pagare un riscatto per riottenere l’accesso ai tuoi account.

Furto d’identità

Un altro possibile esito di una perdita email è il furto di identità. Il furto di identità si verifica quando un hacker abusa dei tuoi dati personali per ingannare altre persone e organizzazioni facendo credere loro di essere te. Potrebbero:

• Registrarsi a nuovi abbonamenti e contratti a tuo nome
• Richiedere nuove carte di credito, prestiti e account bancari con i tuoi dettagli
• Effettuare acquisti fraudolenti 
• Sostenere di essere te e chiedere soldi a parenti e amici
• Commettere reati usando i tuoi dettagli

Il furto di identità ha conseguenze devastanti: può danneggiare seriamente la tua carriera e reputazione e persino lasciarti con precedenti penali.

Come verificare se c’è stata una perdita email

Data la frequenza delle violazioni dei dati, è fondamentale monitorare regolarmente i segnali di una possibile perdita della tua email. Un ottimo modo per farlo è cercare il tuo indirizzo email nel database Have I Been Pwned (HIBP)(nuova finestra), un sito web progettato dal consulente per la sicurezza web Troy Hunt per aiutare le persone a controllare se le proprie informazioni personali sono state compromesse. HIBP ti permette di cercare il tuo indirizzo email, numero di telefono e password.

Per cercare il tuo indirizzo email o il tuo numero di telefono:

1. Vai sul sito web Have I Been Pwned(nuova finestra).
2. Digita il tuo indirizzo email o il tuo numero di telefono nella barra di ricerca e clicca su pwned?

Per cercare la tua password:

1. Vai sul sito web Have I Been Pwned(nuova finestra).

3. Clicca su passwords nel menu di navigazione superiore.
4. Digita la tua password nella barra di ricerca e clicca su pwned?

Come interpretare i risultati

Se il tuo indirizzo email e il tuo numero di telefono non sono stati violati, vedrai questo messaggio:

Se invece scopri che le tue informazioni sono state trapelate, vedrai questo messaggio:

Se scopri di essere vittima di una perdita di email, segui questi passaggi per proteggerti immediatamente.

Come proteggerti dalle perdite di email

Cambia le tue password

La prima cosa da fare dopo aver scoperto che la tua email è trapelata è cambiare le password degli account interessati. Questo presuppone che tu abbia usato una password forte e unica per tutti i tuoi account. Se hai usato la stessa password per più account e uno di questi è stato colpito da una perdita, dovresti cambiare quella password ovunque tu l’abbia usata. Questo è un motivo in più per cui non dovresti riutilizzare le password: rende più difficile il ripristino dopo una violazione.

Ti consigliamo di usare un gestore di password open source per ricordare più facilmente password forti e uniche.

I gestori di password generano e memorizzano automaticamente password complesse per ognuno dei tuoi account online, rendendo difficile per gli hacker violarli. Tutto quello che devi fare è ricordare una master password che ti permetta di accedere al tuo gestore di password.

Abilita l’autenticazione a due fattori

Mentre cambi il tuo indirizzo (o indirizzi) email e le password dei tuoi account online, dovresti anche attivare l’autenticazione a due fattori (2FA) laddove possibile. Quando usi la 2FA, difendi il tuo account dall’accesso non autorizzato richiedendo un’ulteriore verifica oltre alla password al momento dell’accesso. In genere si tratta di qualcosa che possiedi, come una chiave di sicurezza o un dispositivo mobile, o qualcosa che ti identifica, come il riconoscimento facciale o l’impronta digitale.

Le chiavi di sicurezza, note anche come chiavi 2FA o chiavi hardware (ad esempio, YubiKeys(nuova finestra)), sono una delle forme più sicure di 2FA. A differenza dei codici monouso generati da un’app di autenticazione installata sul tuo dispositivo mobile, le chiavi di sicurezza non possono essere colpite da spoofing, non hanno limiti di tempo e non richiedono l’accesso a un dispositivo mobile. Essendo chiavi USB, puoi aggiungerle facilmente al tuo portachiavi e portarle ovunque. Purtroppo, non tutti i servizi supportano le chiavi di sicurezza.

Avvisa i tuoi contatti

Dovresti informare i tuoi contatti che potrebbero ricevere email insolite che sembrano provenire da te, per evitare che vengano ingannati da tentativi di phishing che utilizzano (o sembrano utilizzare) il tuo indirizzo email.

Se avevi attivato la 2FA nel tuo account email prima della perdita e hai la certezza che l’hacker non abbia avuto accesso alla tua app di autenticazione o alla chiave di sicurezza, puoi ignorare questo passaggio.

Esamina attentamente gli estratti conto bancari e della carta di credito

Dovresti anche controllare gli estratti conto della banca e della carta di credito per individuare eventuali attività insolite, come addebiti che non riconosci, acquisti consistenti o persino modifiche al tuo indirizzo di fatturazione. A volte i criminali effettuano anche piccoli “pagamenti di prova” da 1 o 2 dollari prima di tentare transazioni più grandi.

Se scopri un’attività sospetta, segnalala immediatamente alla tua banca o al fornitore della carta di credito. Di solito, la banca o la società emittente della carta ti fornirà un nuovo conto bancario o una nuova carta di credito e chiuderà quelli vecchi.

Usa gli alias email

L’uso degli alias email è una strategia utile per preservare la tua privacy online, specialmente dopo una perdita di email. Utilizzando un alias email, puoi mantenere privato il tuo indirizzo email principale e limitare la quantità di informazioni personali che fornisci online. Puoi creare alias email in due modi:

• Aggiungendo il segno più (+): aggiungi “+qualcosa” al tuo nome utente. Ad esempio, se il tuo indirizzo email è bobsmith@proton.me, il tuo alias email potrebbe essere bobsmith+finances@proton.me. Questa pratica è nota come subaddressing email. 
• Creando un nuovo alias email con un nome utente diverso: puoi creare alias email completamente nuovi per i diversi account online.

Nota: non tutti i provider di posta supportano queste funzionalità. Proton Mail sì, inoltre offriamo +alias gratuitamente.

Sebbene sia comodo e pratico, un malintenzionato può facilmente estrarre il tuo vero indirizzo email dal tuo subaddress email e usarlo per campagne di spam. Se devi usare un subaddress email, assicurati che non contenga il tuo vero nome.

Genera automaticamente alias email univoci

Il modo migliore per creare nuovi alias email è configurarli individualmente. Ma dato il numero di account online che usiamo ogni giorno, è impossibile creare manualmente nuovi alias email per tutti. Gestire e organizzare così tante caselle di posta in arrivo sarebbe inoltre un incubo logistico.

Ecco perché ti consigliamo di usare un servizio di alias email open-source, come SimpleLogin by Proton(nuova finestra), per generare questi indirizzi. SimpleLogin è un’estensione per browser, un’app web e un’app mobile che ti fornisce indirizzi email anonimi ogni volta che ti registri a un account online. Le email inviate ai tuoi alias vengono inoltrate istantaneamente alla tua posta in arrivo.

Con SimpleLogin puoi creare il tuo alias personalizzato o lasciare che il software ne generi automaticamente uno casuale. Se decidi di non voler più usare un alias, ti basta eliminarlo.

Non aprire link e allegati sospetti

I malintenzionati usano spesso le email di phishing per spingerti a rivelare i tuoi dati personali su siti web fraudolenti o a installare malware(nuova finestra) sul tuo computer. Per restare al sicuro, è meglio aprire solo email e allegati provenienti da mittenti attendibili e prestare attenzione alle email che ti sollecitano a compiere un’azione urgente (come insistere per inviare denaro immediatamente).

In caso di dubbi, contatta il mittente tramite un metodo alternativo, come chiamare il suo servizio di assistenza ufficiale, e chiedigli di verificare che ti abbia inviato un’email. Se hai la certezza di avere a che fare con un’email di phishing, segnalala subito al tuo provider di posta.

Monitora regolarmente i tuoi indirizzi email per eventuali perdite

Tenere d’occhio potenziali perdite di email può essere molto utile per proteggere le tue informazioni personali e la tua identità online. Il monitoraggio regolare ti aiuta a rilevare e rispondere rapidamente a qualsiasi attività insolita o incidente di sicurezza.

Puoi anche usare la funzionalità “Avvisami” di HIBP per ricevere notifiche se i tuoi dettagli personali vengono compromessi in una violazione dei dati:

1. Vai sul sito web Have I Been Pwned(nuova finestra)
2. Fai clic su Notify me (Avvisami) nel menu di navigazione superiore
3. Inserisci il tuo indirizzo email e seleziona notify me of pwnage (avvisami se i miei dati sono stati compromessi)

In alternativa, puoi seguire l’account Twitter(nuova finestra) di HIBP per restare al corrente di tutte le ultime violazioni dei dati. Se disponi di un gestore di password premium, come 1Password, puoi anche configurare aggiornamenti automatici per il rilevamento delle perdite: 1Password cercherà regolarmente nel database di HIBP e ti avviserà se appaiono i tuoi dettagli di login.

Scegli un provider di posta elettronica sicura

Anche il tuo provider di posta svolge un ruolo cruciale nel prevenire accessi non autorizzati alla tua posta in arrivo. È responsabile dell’implementazione di solide misure di sicurezza che proteggano il tuo account email da minacce informatiche come hacking, phishing e malware.

In qualità di provider di email crittografate più grande al mondo, la nostra priorità assoluta in Proton è proteggere la tua privacy online e darti il controllo dei tuoi dati. Quando usi Proton Mail, puoi usufruire delle seguenti funzionalità di sicurezza:

• Crittografia end-to-end: nessuno, tranne te e il destinatario desiderato, può leggere i tuoi messaggi. 
• Crittografia ad accesso zero: tutti i dati archiviati nei nostri server sono completamente crittografati. Anche se un hacker dovesse violare i nostri server, non sarebbe in grado di leggere le tue email.
• Alias email aggiuntivi: se hai un piano Proton Mail a pagamento, puoi creare almeno 10 alias email aggiuntivi. Tutte le email inviate ai tuoi alias arrivano nella tua posta in arrivo come di consueto.
• Blocco delle attività sospette: i sistemi di sicurezza di Proton Mail bloccheranno temporaneamente il tuo account se rilevano comportamenti sospetti, come il tentativo di qualcuno di hackerare la tua posta in arrivo. Il tuo account verrà sbloccato quando potrai dimostrare la tua identità con un codice di verifica (inviato solo al tuo indirizzo email di recupero o al tuo numero di telefono).
• Controlla i log di sicurezza: nelle impostazioni del tuo account Proton Mail, puoi consultare i log di sicurezza e revocare l’accesso a qualsiasi sessione attiva. Puoi anche attivare i log avanzati che registrano l’indirizzo IP di ogni evento nei log di sicurezza.
• Filtri spam efficaci: il nostro sistema intelligente di rilevamento dello spam rileva automaticamente le email di spam e le indirizza alla tua cartella spam. Per un controllo granulare, puoi anche aggiungere e rimuovere indirizzi email dalla tua Lista Bloccati.
• Autenticazione a due fattori (2FA) e chiavi di sicurezza: puoi usare la 2FA per proteggere il tuo account Proton Mail. Supportiamo i codici temporanei generati dalle app di autenticazione, YubiKey e altre chiavi conformi a U2F/FIDO2. 
• Protezione dal phishing: forniamo una protezione anti-phishing con PhishGuard, un set di funzionalità avanzate progettate specificamente per combattere il phishing.
• Misure anti-spoofing per i domini personalizzati: per proteggerti dagli attacchi di spoofing sul tuo dominio personalizzato, supportiamo SPF, DKIM e DMARC. 

Monitorando la tua email per rilevare eventuali perdite, implementando password sicure e utilizzando le funzionalità di sicurezza offerte da Proton Mail, puoi ridurre il rischio di perdite di email e proteggere i tuoi dati personali dalle minacce informatiche.

Se vuoi sostenere la nostra missione di costruire un internet migliore e più privato, valuta di registrarti per un account Proton Mail gratuito.